2010/11/12 20:03:14所在目錄:建站新聞瀏覽量:3741 警惕木馬鏈接非法網絡站點
在今天的病毒里,需要謹慎防范“異鬼”變種eob和“友好客戶”變種aips。英文名稱:Trojan/Cosmu.eob中文名稱:“異鬼”變種eob病毒長度:70144字節病毒類型:木馬危險級別:★影響平臺:Win 9X/ME/NT/2000/XP/2003MD5 校驗:5abf7449177ed4dc09d6a7fc0993a616特征描述:Trojan/Cosmu.eob“異鬼”變種eob是“異鬼”家族中的最廣州做網站公司新成員之一,采用高級語言編寫,經過加殼保護處理。“異鬼”變種eob運行后,會在被感染計算機的系統盤根目錄下釋放惡意程序“ugn32x.exe”并調用運行(系統重啟后“ugn32x.exe”會被重新命名為“NULL”,并且會在系統盤根目錄下創建“TSTP”目錄并在其中釋放惡意程序“winlogon.exe”)。在被感染系統的后臺定時訪問指定的惡意站點“hxxp://lovechina.b*444.com/GoGoGo888.ashx?Mac=”,以此提高這番禺網站設計些網站的訪問量(網絡排名),給駭客帶來了非法的經濟利益。刪除桌面上的IE瀏覽器快捷方式,然后會創建假冒的IE快捷方式。通過這個番禺網站建設快捷方式啟動的IE瀏覽器會自動訪問駭客指定的站點“i.16*vv.com/?80”。其還會在桌面上創建指向“hxxp://888.qq*33.com/”、“hxxp://888.qq2233.com/”、“hxxp://888.qq*33.com/taobao.htm”的Internet快捷方式,從而誘導用戶對這些站點進行訪問。“異鬼”變種eob會在被感染系統的后臺遍歷正在運行的所有程序,一旦發現某些指定的安全軟件存在,“異鬼”變種eob便會嘗試將其強行關閉,以此達到自我保護的目的。其還會破壞被感染系統的“隱藏受保護的操作番禺做網站公司系統文件”功能,以此更好地進行自我隱藏。另外,其會在開始菜單“啟動”文件夾下添加名為“TSPS”的快捷方式(指向惡意程序“ugn32x.exe”),以此實現開機自動運行。英文名稱:Backdoor/PcClient.aips中文名稱:“友好客戶”變種aips病毒長度:48128字節病毒類型:后門危險級別:★影響平臺:Win 9X/ME/NT/2000/XP/2003MD5 校驗:773a2faeda0b6e6c539b12d5801a27c9特征描述:Backdoor/PcClient.aips“友好客戶”變種aips是“友好客戶”家族中的最新成員之一,采用“Microsoft Visual C++ 6.0”編寫,經過加殼保護處理。“友好客戶”變種aips運行后,會在被感染系統的“%USERPROFILE%Local SettingsTemp”和“%programfiles%Common FilesMicrosoft Shared”文件夾下釋放惡意DLL組件“illbml.dll”,然后調用rundll32.exe運行。其還會將自身復制到“%programfiles%Common FilesMicrosoft Shared”目錄下并重新命名為“illbml.exe”。“友好客戶”變種aips屬于反向連接后門程序,其會在被感染系統的后臺番禺網頁設計連接駭客指定的遠程站點“ice*2008.vicp.net”,獲取客戶端的IP地址,偵聽駭客指令,從而達到被遠程控制的目的。該后門具有遠程監視、控制等功能,可以監視用戶的一舉一動(如:鍵盤輸入、屏幕顯示、光驅操作、文件讀寫、鼠標操作和攝像頭操作等),還可以竊取、修改或刪除用戶計算機中存放的文件,從而對用戶的個人隱私甚至是商業機密構成嚴重的威脅。感染“友好客戶”變種aips的系統會成為網絡僵尸傀儡主機,利用這些傀網站建設儡主機駭客可對指定站點發起DDoS攻擊和洪水攻擊等,從而對互聯網安全構成更加嚴重的破壞。另外,“友好客戶”變種aips會通過修改系統已存在服務的方式實現開機自啟。 
粵公網安備44011302004697
